Iexplorer trojaner.. |
||
|---|---|---|
| #0
| ||
|
07.10.2007, 21:25
Member
Beiträge: 43 |
||
 
|
|
|
|
08.10.2007, 07:58
Member
 Beiträge: 694 |
#2
Hi,
bitte online prüfen: virustotal Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen http://www.virustotal.com/flash/index_en.html Zitat C:\DOKUME~1\fabian\ANWEND~1\STOREM~1\copyslowdent.exePoste das Ergebnis mit Filenamen... AD-Ware sollte das finden und bereinigen können: http://download.freenet.de/archiv_l/lavasoft_ad-aware_se_personal_edition_3116.html Poste danach ein neues HJ-Log (sonst gehen wir "per Hand" vor)... Chris |
|
|
|
|
|
|
08.10.2007, 13:24
Member
Themenstarter Beiträge: 43 |
#3
C:\DOKUME~1\fabian\ANWEND~1\STOREM~1\copyslowdent.exe
Zitat Antivirus Version letzte aktualisierung ErgebnisC:\Programme\Save\Save.exe (WhenYou save -> oder gleich löschen ;o) C:\Programme\NetPumper\NetPumperIEProxy.exe (NetPumper -> oder gleich löschen ;o) > gelöscht C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mags Mapi Joy Bike\extra sect.exe Zitat Antivirus Version letzte aktualisierung ErgebnisAD-Aware läuft gerade durch, danach kommt neue HJ Log. Danke :] //EDIT: Zitat Logfile of Trend Micro HijackThis v2.0.2 Dieser Beitrag wurde am 08.10.2007 um 14:13 Uhr von neXtar editiert.
|
|
|
|
|
|
|
08.10.2007, 14:49
Member
Beiträge: 694 |
#4
Hi,
Also: Avenger http://virus-protect.org/artikel/tools/avenger.html Input script manually (anhaken) kopiere in: View/edit script Zitat Chris |
|
|
|
|
|
|
08.10.2007, 15:02
Member
Themenstarter Beiträge: 43 |
#5
//////////////////////////////////////////
Avenger Pre-Processor log ////////////////////////////////////////// Syntax error in line --- does not appear to be a valid registry path. Line will be ignored. Error code: 8 Line: HKCU\Software\Microsoft\Windows\CurrentVersion\Run|Setup Mix ////////////////////////////////////////// Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\cuhrsokf ******************* Script file located at: \??\C:\Program Files\gcobjlha.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\DOKUME~1\fabian\ANWEND~1\STOREM~1\copyslowdent.exe deleted successfully. File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mags Mapi Joy Bike\extra sect.exe deleted successfully. Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Joy Bike More City deleted successfully. Completed script processing. ******************* Finished! Terminate. |
|
|
|
|
|
|
08.10.2007, 15:19
Member
Beiträge: 694 |
#6
Hi,
was tut sich? Dein IE ist veraltet, Du solltest updaten; Letzter scan mit Avira, folgende Einstellungen: Aktualisiere Antivir, stelle dein Antivir ein, wie hier beschrieben: http://board.protecus.de/t23979.htm Poste das Log! Chris |
|
|
|
|
|
|
08.10.2007, 21:12
Member
Themenstarter Beiträge: 43 |
#7
AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Montag, 8. Oktober 2007 15:24 Es wird nach 869109 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (plain) [5.1.2600] Benutzername: fabian Computername: NEXTAR Versionsinformationen: BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00 AVSCAN.EXE : 7.0.6.1 290856 Bytes 11.09.2007 17:56:58 AVSCAN.DLL : 7.0.6.0 57384 Bytes 11.09.2007 17:56:58 LUKE.DLL : 7.0.5.3 147496 Bytes 11.09.2007 17:56:58 LUKERES.DLL : 7.0.6.0 10792 Bytes 11.09.2007 17:56:58 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 11:13:05 ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13.09.2007 10:36:24 ANTIVIR2.VDF : 7.0.0.57 446464 Bytes 07.10.2007 13:21:28 ANTIVIR3.VDF : 7.0.0.62 19968 Bytes 08.10.2007 13:21:28 AVEWIN32.DLL : 7.6.0.20 2753024 Bytes 05.10.2007 18:42:20 AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 09:36:23 AVPREF.DLL : 7.0.2.2 25640 Bytes 11.09.2007 17:56:57 AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 12:16:24 AVPACK32.DLL : 7.3.0.15 360488 Bytes 05.08.2007 18:51:32 AVREG.DLL : 7.0.1.6 30760 Bytes 11.09.2007 17:56:58 AVARKT.DLL : 1.0.0.20 278568 Bytes 11.09.2007 17:56:53 AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 11.09.2007 17:56:55 NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 10:09:03 RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 11.09.2007 17:56:45 RCTEXT.DLL : 7.0.62.0 90152 Bytes 11.09.2007 17:56:45 SQLITE3.DLL : 3.3.17.1 339968 Bytes 11.09.2007 17:56:59 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Lokale Laufwerke Konfigurationsdatei..............: c:\programme\antivir personaledition classic\alldrives.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: G:, Durchsuche Speicher..............: aus Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: aus Archiv Smart Extensions..........: ein Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, Makrovirenheuristik..............: ein Dateiheuristik...................: hoch Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Montag, 8. Oktober 2007 15:24 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'HijackThis.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'myMP3.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'usnsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WLanNetService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'epmworker.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'getright.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Generic.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'StyleXP.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AMO_TA~1.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'daemon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CapabilityManager.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Application Launcher.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WLanGUI.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'atiptaxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Smc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'StyleXPService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '43' Prozesse mit '43' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [HINWEIS] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'D:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'A:\' [HINWEIS] Im Laufwerk 'A:\' ist kein Datenträger eingelegt! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '34' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\fabian\Desktop\avenger.zip [0] Archivtyp: ZIP --> avenger.exe [FUND] Enthält Erkennungsmuster des SPR/Avenger-Programmes [WARNUNG] Die Datei wurde ignoriert. C:\Dokumente und Einstellungen\fabian\Desktop\ComboFix.exe [0] Archivtyp: RAR SFX (self extracting) --> setpath.cfexe [FUND] Enthält verdächtigen Code: HEUR/Malware [WARNUNG] Die Datei wurde ignoriert. C:\Dokumente und Einstellungen\fabian\Desktop\avenger\avenger.exe [FUND] Enthält Erkennungsmuster des SPR/Avenger-Programmes [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '476f30ad.qua' verschoben! C:\RECYCLER\S-1-5-21-2025429265-1708537768-725345543-1003\Dc17 [0] Archivtyp: RAR SFX (self extracting) --> setpath.cfexe [FUND] Enthält verdächtigen Code: HEUR/Malware [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '476d3291.qua' verschoben! C:\WINDOWS\system32\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Suche in 'D:\' Beginne mit der Suche in 'A:\' Der zu durchsuchende Pfad A:\ konnte nicht geöffnet werden! Das Gerät ist nicht bereit. Beginne mit der Suche in 'E:\' Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden! Das Gerät ist nicht bereit. Beginne mit der Suche in 'F:\' Der zu durchsuchende Pfad F:\ konnte nicht geöffnet werden! Das Gerät ist nicht bereit. Beginne mit der Suche in 'G:\' Der zu durchsuchende Pfad G:\ konnte nicht geöffnet werden! Das Gerät ist nicht bereit. Ende des Suchlaufs: Montag, 8. Oktober 2007 16:08 Benötigte Zeit: 44:40 min Der Suchlauf wurde vollständig durchgeführt. 8990 Verzeichnisse wurden überprüft 257152 Dateien wurden geprüft 2 Viren bzw. unerwünschte Programme wurden gefunden 2 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 2 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 257150 Dateien ohne Befall 1909 Archive wurden durchsucht 4 Warnungen 31 Hinweise |
|
|
|
|
|
|
08.10.2007, 22:15
Ehrenmitglied
 Beiträge: 6028 |
||
|
|
|
|
|
09.10.2007, 14:04
Member
Themenstarter Beiträge: 43 |
#9
ist entfernt.
nocheinmal ein HJ Log.. passt nun alles? Zitat Logfile of Trend Micro HijackThis v2.0.2 |
|
|
|
|
|
|
09.10.2007, 15:17
Ehrenmitglied
Beiträge: 6028 |
#10
Es fehlt was !
Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) __________ MfG Argus |
|
|
|
|
|
|
09.10.2007, 15:34
Member
Themenstarter Beiträge: 43 |
#11
wie jetzt ?!
das heißt für mich o_O wieso fehlt das ?! |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Microsoft Windows XP Professional 5.1.2600.0.1252.1.1031.18.187 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\fabian\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.
((((((((((((((((((((((( Dateien erstellt von 2007-09-07 bis 2007-10-07 ))))))))))))))))))))))))))))))
.
2007-10-07 21:15 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-07 13:25 396,800 --a------ C:\WINDOWS\system32\PSDrvCheck.exe
2007-10-07 13:25 114,688 --a------ C:\WINDOWS\system32\nsp.dll
2007-10-07 13:25 11,264 --a------ C:\WINDOWS\system32\drivers\asapiW2k.sys
2007-10-07 13:25 1,441,792 --a------ C:\WINDOWS\system32\nspw7.dll
2007-10-07 13:25 1,429,504 --a------ C:\WINDOWS\system32\nspa6.dll
2007-10-07 13:25 1,404,928 --a------ C:\WINDOWS\system32\nspm6.dll
2007-10-07 13:25 1,335,296 --a------ C:\WINDOWS\system32\nspm5.dll
2007-10-07 13:25 1,318,912 --a------ C:\WINDOWS\system32\nspp6.dll
2007-10-07 13:25 1,306,624 --a------ C:\WINDOWS\system32\nsppx.dll
2007-10-07 13:25 <DIR> d-------- C:\Programme\VOB
2007-10-07 13:25 <DIR> d-------- C:\Programme\Pinnacle
2007-10-07 13:25 <DIR> d-------- C:\MyMp3Pro
2007-10-07 13:24 665,088 --a------ C:\WINDOWS\LOOP.exe
2007-10-07 12:58 <DIR> d-------- C:\Programme\StoreMeowMemo
2007-10-07 12:58 <DIR> d-------- C:\Dokumente und Einstellungen\fabian\Anwendungsdaten\StoreMeowMemo
2007-10-07 12:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mags Mapi Joy Bike
2007-10-04 12:56 <DIR> d-------- C:\Programme\Save
2007-10-02 23:20 73,216 --a------ C:\WINDOWS\cadkasdeinst01.exe
2007-10-02 23:20 <DIR> d-------- C:\Programme\MP3 Cutter 1
2007-09-19 14:05 <DIR> d-------- C:\WINDOWS\LogFiles
2007-09-18 21:31 <DIR> d-------- C:\Dokumente und Einstellungen\fabian\Anwendungsdaten\MSN6
2007-09-18 21:31 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MSN6
2007-09-15 19:06 <DIR> d-------- C:\Programme\themexp
2007-09-15 19:02 <DIR> d-------- C:\Programme\TGTSoft
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-07 13:28 --------- d-------- C:\Dokumente und Einstellungen\fabian\Anwendungsdaten\Steinberg
2007-10-07 13:01 --------- d-------- C:\Dokumente und Einstellungen\fabian\Anwendungsdaten\NetPumper
2007-10-07 12:57 --------- d-------- C:\Programme\NetPumper
2007-10-03 13:49 --------- d-------- C:\Programme\GetRight
2007-10-01 00:00 --------- d-------- C:\Dokumente und Einstellungen\fabian\Anwendungsdaten\LimeWire
2007-09-12 13:28 --------- d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2007-09-02 15:32 --------- d-------- C:\Dokumente und Einstellungen\fabian\Anwendungsdaten\Skype
2007-08-26 11:31 --------- d-------- C:\Programme\ICQ6
2007-08-03 12:24 4215160 --a------ C:\WINDOWS\system32\SpoonUninstall.exe
2007-03-11 18:59 57344 --a------ C:\Dokumente und Einstellungen\fabian\iSNIML.dll
2006-05-03 09:06:54 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47:16 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-08-25 13:52]
"AVMWlanClient"="C:\Programme\avmwlanstick\wlangui.exe" [2005-05-13 02:00]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-09-11 19:56]
"SmcService"="D:\PROGRA~1\Sygate\SPF\smc.exe" [2004-10-15 19:40]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-02-13 17:00]
"NetPumper"="C:\Programme\NetPumper\NetPumperIEProxy.exe" [2004-07-03 21:06]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 16:17]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-31 19:42]
"Joy Bike More City"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mags Mapi Joy Bike\extra sect.exe" [2007-10-07 21:12]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 13:55]
"DAEMON Tools"="D:\Programme\DAEMON Tools\daemon.exe" [2007-04-04 00:29]
"Ashampoo Magical Optimizer Taskplaner"="C:\PROGRA~1\Ashampoo\ASHAMP~1\AMO_TA~1.exe" [2007-04-11 13:15]
"QIP2005"="D:\Programme\QIP\qip.exe" [2007-07-15 12:43]
"STYLEXP"="C:\Programme\TGTSoft\StyleXP\StyleXP.exe" [2006-05-24 20:31]
"WhenUSave"="C:\Programme\Save\Save.exe" [2006-08-25 14:45]
"Setup Mix"="C:\DOKUME~1\fabian\ANWEND~1\STOREM~1\copyslowdent.exe" [2007-10-07 12:58]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
"C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H2O]
C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"C:\Programme\Messenger\msmsgs.exe" /background
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Programme\QuickTime\qttask.exe" -atboottime
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
SOUNDMAN.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
D:\Programme\Winamp\winampa.exe
R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys
R3 CLEDX;Team H2O CLEDX service;C:\WINDOWS\System32\DRIVERS\cledx.sys
R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\System32\DRIVERS\fwlanusb.sys
S2 PHPGeekUtil;PHPGeekUtil;"c:\apache\APACHE.EXE" --ntservice
S3 w200bus;Sony Ericsson W200 driver (WDM);C:\WINDOWS\System32\DRIVERS\w200bus.sys
S3 w200mdfl;Sony Ericsson W200 USB WMC Modem Filter;C:\WINDOWS\System32\DRIVERS\w200mdfl.sys
S3 w200mdm;Sony Ericsson W200 USB WMC Modem Driver;C:\WINDOWS\System32\DRIVERS\w200mdm.sys
S3 w200mgmt;Sony Ericsson W200 USB WMC Device Management Drivers (WDM);C:\WINDOWS\System32\DRIVERS\w200mgmt.sys
S3 w200obex;Sony Ericsson W200 USB WMC OBEX Interface;C:\WINDOWS\System32\DRIVERS\w200obex.sys
*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2007-08-01 05:20:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************
catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-07 21:16:34
Windows 5.1.2600 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Einträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
Zeit der Fertigstellung: 2007-10-07 21:17:02
.
--- E O F ---
///////////////////////
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:21:00, on 07.10.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
D:\Programme\DAEMON Tools\daemon.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\ICQ6\ICQ.exe
D:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\fabian\Desktop\HiJackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://c.icq.com/cf/icq5/0/download_flash.html
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: GetRight IE Download Helper - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NetPumper] "C:\Programme\NetPumper\NetPumperIEProxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Joy Bike More City] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mags Mapi Joy Bike\extra sect.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools] "D:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [Ashampoo Magical Optimizer Taskplaner] "C:\PROGRA~1\Ashampoo\ASHAMP~1\AMO_TA~1.EXE" -TRAY
O4 - HKCU\..\Run: [QIP2005] D:\Programme\QIP\qip.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"
O4 - HKCU\..\Run: [Setup Mix] C:\DOKUME~1\fabian\ANWEND~1\STOREM~1\copyslowdent.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe
O4 - Global Startup: Last.fm Helper.lnk = D:\Programme\Last.fm\LastFMHelper.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: PHPGeekUtil - Unknown owner - c:\apache\APACHE.EXE (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Programme\Sygate\SPF\smc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
--
End of file - 6472 bytes
////////////
.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 00B0-56E0
Verzeichnis von C:\WINDOWS\system32
05.10.2007 10:07 279.552 swreg.exe
04.10.2007 12:48 2.184 wpa.dbl
03.08.2007 12:25 13.011 SpoonUninstall-dBpoweramp Music Converter.dat
03.08.2007 12:24 33.846 SpoonUninstall-dBpoweramp Music Converter.bmp
03.08.2007 12:24 4.215.160 SpoonUninstall.exe
1968 Datei(en) 393.177.843 Bytes
0 Verzeichnis(se), 1.090.514.944 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 00B0-56E0
Verzeichnis von C:\DOKUME~1\fabian\LOKALE~1\Temp
07.10.2007 21:21 96.243 datfind.txt
07.10.2007 21:20 114.688 ~DF22F7.tmp
07.10.2007 21:17 0 JETEDC8.tmp
3 Datei(en) 210.931 Bytes
0 Verzeichnis(se), 1.090.547.712 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 00B0-56E0
Verzeichnis von C:\WINDOWS
07.10.2007 11:52 0 0.log
07.10.2007 11:52 2.048 bootstat.dat
06.10.2007 21:20 32.548 SchedLgU.Txt
06.10.2007 00:23 411 wiadebug.log
05.10.2007 21:10 50 wiaservc.log
05.10.2007 21:03 116 NeroDigital.ini
02.10.2007 23:20 73.216 cadkasdeinst01.exe
28.09.2007 09:06 135.168 catchme.exe
19.09.2007 14:06 163.750 DirectX.log
16.09.2007 15:28 1.511 avmadd32.log
16.09.2007 15:27 785 avmcowlan.log
22.07.2007 14:33 519 win.ini
09.07.2007 15:46 200 RtlRack.ini
07.07.2007 23:43 434 KB823182.log
07.07.2007 23:34 1.063.998 DPINST.LOG
03.07.2007 07:59 9.292 super.chm
127 Datei(en) 13.142.811 Bytes
0 Verzeichnis(se), 1.090.539.520 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 00B0-56E0
Verzeichnis von C:\WINDOWS\temp
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 00B0-56E0
Verzeichnis von C:\WINDOWS\Downloaded Program Files
29.06.2007 15:06 3.124 install.log
29.06.2007 15:06 38.428 unagiuninst.exe
11.03.2007 18:52 24.576 iSetupML.dll
11.03.2007 18:52 372.736 iSetupML.exe
12.02.2007 21:27 65 desktop.ini
8 Datei(en) 1.286.941 Bytes
0 Verzeichnis(se), 1.090.539.520 Bytes frei
.
.
.